信息來(lái)源：51CTO

雖然FBI近日成功追繳了輸油管道運(yùn)營(yíng)商Colonial Pipeline支付給勒索軟件DarkSide的贖金，但這顯然并未嚇阻勒索軟件遠(yuǎn)離關(guān)鍵基礎(chǔ)設(shè)施甚至核武器。近日，美國(guó)核武器合同商Sol Oriens遭遇REvil勒索軟件攻擊，攻擊者揚(yáng)言不繳納贖金就將核武器機(jī)密信息泄露給其他國(guó)家的軍方。

據(jù)報(bào)道，REvil威脅受害者：“我們?cè)诖吮Ａ魧⑺邢嚓P(guān)文件和數(shù)據(jù)轉(zhuǎn)發(fā)給我們選擇的軍事機(jī)構(gòu)的權(quán)利?！?

位于新墨西哥州阿爾伯克基的Sol Oriens公司是美國(guó)能源部(DOE)的分包商，與美國(guó)國(guó)家核安全局(NNSA)合作開(kāi)發(fā)核武器，上個(gè)月遭到了勒索軟件攻擊，專家稱該攻擊來(lái)自“無(wú)情的”REvil勒索軟件的RaaS團(tuán)伙。

據(jù)報(bào)道，至少?gòu)?月3日起，Sol Oriens公司的網(wǎng)站就已無(wú)法訪問(wèn)，但Sol Oriens的官員向?？怂剐侣労虲NBC證實(shí)，該公司上個(gè)月就檢測(cè)到了攻擊。

根據(jù)CNBC記者Eamon Javers轉(zhuǎn)發(fā)的推文，Sol Oriens公司發(fā)布聲明指出：

“2021年5月，Sol Oriens檢測(cè)到了(勒索軟件)網(wǎng)絡(luò)安全事件。調(diào)查正在進(jìn)行中，我們確定未經(jīng)授權(quán)的個(gè)人從我們的系統(tǒng)中獲取了某些文件。這些文件目前正在審查中，我們正在與第三方技術(shù)取證公司合作，以確定可能涉及的潛在數(shù)據(jù)的范圍。我們目前沒(méi)有發(fā)現(xiàn)跡象表明此事件涉及客戶機(jī)密或與安全相關(guān)的關(guān)鍵信息。一旦調(diào)查結(jié)束，我們將致力于通知相關(guān)個(gè)人和實(shí)體……”

“正如Javers指出的那樣，我們并不了解這家小公司(Sol Oriens)的業(yè)務(wù)，但根據(jù)該公司發(fā)布的招聘信息中的職位要求，其業(yè)務(wù)與核武器有關(guān)。他們的招聘要求是高級(jí)核武器系統(tǒng)人才，需要擁有20多年W80-4等核武器經(jīng)驗(yàn)的專家(W80是一種空射的巡航導(dǎo)彈核彈頭)?！?

根據(jù)LinkedIn企業(yè)資料顯示，Sol Oriens是一家小型、資深的咨詢公司，專注于管理具有強(qiáng)大軍事和空間應(yīng)用潛力的先進(jìn)技術(shù)和概念，與國(guó)防部和能源部、航空航天承包商和技術(shù)公司合作執(zhí)行復(fù)雜的項(xiàng)目，專注于確保擁有成熟的技術(shù)來(lái)維持強(qiáng)大的國(guó)防。

1. 泄漏了哪些信息

安全公司Emsisoft的威脅分析師和勒索軟件專家Brett Callow透露，他發(fā)現(xiàn)Sol Oriens的內(nèi)部信息已經(jīng)被發(fā)布到REvil的暗網(wǎng)博客上。

目前來(lái)看，暗網(wǎng)上披露的泄漏數(shù)據(jù)似乎并不涉及高度機(jī)密的軍事秘密，只包括了2020年9月的公司工資單，列出了少數(shù)員工的姓名、社會(huì)保障號(hào)碼和季度工資。還有一個(gè)公司合同賬本，以及工人培訓(xùn)計(jì)劃的備忘錄(備忘錄頂部有能源部和NNSA國(guó)防計(jì)劃的標(biāo)志)的一部分。

REvil(或者任何對(duì)這次襲擊負(fù)責(zé)的團(tuán)伙)是否得到了美國(guó)核武器的更敏感、更秘密的信息還有待觀察。但是，黑客從核武器承包商那里拿到任何信息都足以讓人深感擔(dān)憂。正如Mother Jones所報(bào)道的，事件相關(guān)的美國(guó)國(guó)家核安全局負(fù)責(zé)維護(hù)和保護(hù)美國(guó)的核武器儲(chǔ)備，并致力于軍事核應(yīng)用以及其他高度敏感的任務(wù)。

2. 膽大包天的勒索軟件團(tuán)伙REvil

REvil膽敢攻擊美國(guó)核武器供應(yīng)鏈企業(yè)并不讓人感到意外，因?yàn)樵摾账鬈浖M織向來(lái)以膽大包天著稱。本周早些時(shí)候，全球最大的肉類加工企業(yè)JBS Foods已經(jīng)發(fā)布聲明向REvil支付了價(jià)值1100萬(wàn)美元的贖金，后者因?yàn)樵獾絉Evil勒索軟件的攻擊而被迫關(guān)閉了在美國(guó)和澳大利亞的部分業(yè)務(wù)。

REvil不僅是最危險(xiǎn)的勒索軟件組織，也是最大膽的，敢于對(duì)世界上最龐大和重要的組織發(fā)動(dòng)進(jìn)攻并索要天價(jià)贖金。4月，就在其引人注目的新產(chǎn)品發(fā)布前幾個(gè)小時(shí)，REvil對(duì)蘋果發(fā)出最后通牒，要求其支付高達(dá)5000萬(wàn)美元的贖金。這是一個(gè)大膽的舉動(dòng)，即使對(duì)于臭名昭著的勒索軟件服務(wù)團(tuán)伙 (RaaS) 也是如此。REvil先是攻擊了財(cái)富500強(qiáng)企業(yè)電子產(chǎn)品制造商廣達(dá)，該公司也是蘋果的供應(yīng)商，跟蘋果簽訂了大量蘋果產(chǎn)品的生產(chǎn)合同，包括Apple Watch、Apple Macbook Air和Pro以及ThinkPad(聯(lián)想集團(tuán))。

FireEye研究人員還報(bào)告說(shuō)，SolarWinds供應(yīng)鏈攻擊的參與者之一與REvil/Sodinokibi勒索軟件團(tuán)伙有關(guān)聯(lián)，但此消息尚未得到證實(shí)。

3. 如何防御勒索軟件?

考慮到所有這些重大事件，分包商的網(wǎng)絡(luò)安全措施是否應(yīng)該足夠嚴(yán)密以抵御REvil或其他網(wǎng)絡(luò)攻擊者?據(jù)報(bào)道，REvil指責(zé)受害者Sol Oriens公司，稱該分包商沒(méi)有采取必要措施來(lái)保護(hù)其員工的個(gè)人數(shù)據(jù)和合作伙伴公司的軟件開(kāi)發(fā)數(shù)據(jù)。

雖然REvil嘲諷Sol Oriens沒(méi)有采取充分的安全措施，但不幸的是，根據(jù)上周五網(wǎng)絡(luò)安全公司Sophos發(fā)布的調(diào)查報(bào)告：沒(méi)有兩個(gè)犯罪集團(tuán)以完全相同的方式部署 RaaS勒索軟件攻擊。

例如，在最近的一次攻擊中，受害組織檢測(cè)到大量以特定服務(wù)器為目標(biāo)的入站RDP登錄嘗試失敗，這臺(tái)服務(wù)器也最終成為攻擊者的訪問(wèn)點(diǎn)。Sophos研究人員Brandt指出：“在標(biāo)準(zhǔn)服務(wù)器上，記錄RDP服務(wù)登錄嘗試失敗的日志會(huì)滾動(dòng)，并覆蓋最舊的數(shù)據(jù)，時(shí)間從幾天到幾周不等，具體取決于嘗試失敗的次數(shù)。在這次攻擊中，大量失敗的RDP登錄事件在短短五分鐘內(nèi)就完全覆蓋了之前的嘗試記錄。從該服務(wù)器收集的數(shù)據(jù)顯示，五分鐘內(nèi)大約有 35,000次登錄嘗試失敗，來(lái)自全球349個(gè)IP地址?！?

上圖統(tǒng)計(jì)的是，在每五分鐘35,000次的暴力登錄嘗試中，攻擊者嘗試使用最多的用戶名(資料來(lái)源：Sophos)。

研究人員指出：

不幸的是，考慮到REvil勒索軟件的不同使用者的技術(shù)手段不盡相同，防御并不像關(guān)閉RDP那樣簡(jiǎn)單。RDP不是唯一的罪魁禍?zhǔn)?，攻擊者還可通過(guò)其他面向互聯(lián)網(wǎng)的服務(wù)獲得初始訪問(wèn)權(quán)限。他們能夠?qū)ζ溥M(jìn)行暴力破解或針對(duì)已知漏洞發(fā)起攻擊，從而為他們提供一些訪問(wèn)權(quán)限。在某一個(gè)案例中，攻擊者將特定VPN服務(wù)器軟件中的漏洞作為目標(biāo)以獲得初始訪問(wèn)權(quán)限，然后利用同一臺(tái)服務(wù)器上五年前版本的Apache Tomcat上的漏洞，讓攻擊者在該服務(wù)器上創(chuàng)建一個(gè)新的管理員賬戶。

最后，對(duì)于REvil團(tuán)伙提到的“所有必要安全措施”，Brandt 表示：“所有行業(yè)各種規(guī)模的公司和組織都需要仔細(xì)審視自己的基礎(chǔ)設(shè)施，并采取一切必要措施來(lái)解決那些幾乎總是導(dǎo)致此類攻擊行為的根本問(wèn)題?！彼麖?qiáng)調(diào)：

Brandt指出：上述建議雖然有些陳腔濫調(diào)，但勒索軟件一次又一次利用這些安全問(wèn)題得手，而且勒索軟件攻擊者永遠(yuǎn)不會(huì)停止尋找組織安全弱點(diǎn)的新方法。